image

Bedrijfsleven gaat zelf organisaties voor kwetsbaarheden waarschuwen

dinsdag 28 september 2021, 11:34 door Redactie, 6 reacties

Het bedrijfsleven gaat samen met verschillende branche- en non-profitorganisaties een eigen systeem opzetten dat organisaties en ondernemingen waarschuwt voor kwetsbaarheden binnen hun systemen en netwerken. Eerder deze maand werd bekend dat het Digital Trust Center van het ministerie van Economische Zaken individuele bedrijven proactief gaat informeren over cyberdreigingen.

Volgens Inge Bryan, directeur van securitybedrijf Fox-IT, is de overheid te traag met het versturen van waarschuwingen. "Informatie moet binnen enkele minuten worden gedeeld. Dat duurt nu weken", zo laat ze tegenover het FD weten. Het nieuwe samenwerkingsverband, waar onder andere Stichting Digitale Infrastructuur Nederland, Stichting Nationale Beheersorganisatie Internet Providers en Connect2Trust bij zijn betrokken, zal bedrijven of anders hun internetprovider over kwetsbare systemen waarschuwen.

"Wij gaan kwetsbare partijen ook ongevraagd informeren, iets wat de overheid niet mag doen" merkt Bryan op. Zo mag de overheid alleen persoonsgegevens delen als daar een wettelijk mandaat voor is. Iets dat anders ligt voor een privaat initiatief. "Als private organisatie mogen we ons beroepen op een gerechtvaardigd belang", zegt Frank Breedijk, van Dutch Institute for Vulnerability Disclosure (DIVD).

Op deze manier kunnen bijvoorbeeld lijsten met gelekte e-mailadressen en wachtwoorden worden gedeeld. "De overheid zal altijd juridische beperkingen hebben die een particulier initiatief niet heeft. En het is ook begrijpelijk dat er informatie is die de overheid voor zichzelf wil houden. Dus je zult uiteindelijk altijd twee systemen hebben", zegt Bryan.

Reacties (6)
28-09-2021, 13:28 door Anoniem
Voorop gesteld ik ben voor dit initiatief om waarschuwing sneller daar te krijgen waar het nodig is.
Ik snap de stelling: "Als private organisatie mogen we ons beroepen op een gerechtvaardigd belang" een overheid(sinstelling) mag dat niet.
Wat ik me wel afvraag is hoe dat belang ultimo wordt gerechtvaardigd. Wat is het gerechtvaardigd belang van dit samenwerkingsverband?
Ik kan me niet voorstellen dat het argument "de ontvangers van de informatie hebben hier (groot) belang bij, dus wij als organisatie hebben een gerechtvaardigd belang op zichzelf afdoende is. Het samenwerkingsverband stelt zich op als verantwoordelijke en dat samenwerkingsverband heeft dus dat belang nodig om aan de AVG te voldoen.
28-09-2021, 13:54 door Anoniem
Goed initiatief, en er is grote behoefte aan snelle en adequate cyber-security waarschuwingen voor kwetsbare organisaties. Overigens niet alleen bij kwetsbare bedrijven, maar ook bij onderwijsinstellingen.

https://www.security.nl/posting/688243/Z-CERT+en+Nederlandse+ggz+gaan+samenwerken+rond+cybersecurity
- Het NCSC richt zich primair op vitale processen en rijksoverheid "maar dat laat onverlet dat we andere organisaties zoals universiteiten kunnen bijstaan",
- Adviezen en richtlijnen van het NCSC staan op de website van het NCSC,
- Onlangs is een aantal organisaties waaronder SURF aangewezen als organisatie waar we vertrouwelijke informatie over dreigingen en kwetsbaarheden mee kunnen delen, dus vertrouwelijke IoC (indicator of compromise) worden gedeeld via SURF zodat zij mitigerende maatregelen kunnen nemen,
- Nu is een viertal organisaties aangewezen, dat willen we uitbreiden tot een landelijk dekkend stelsel van informatieknooppunten,
- Ook werken we samen met SURF in een Nationaal Response Netwerk, samen met de Belasting, Rijkswaterstaat en Defensie, dat als een incident zich voordoet, we elkaar kunnen bijstaan met het verlenen van capaciteit en kennis.

Dus het NCSC heeft als kerntaak het waarschuwen van de vitale infrastructuur, maar nu worden ook sinds 13 januari 2020 via deze vier CERT (computer emergency response teams) a. de gemeenten b. de gezondheidsinstellingen c. de universiteiten en d. de waterschappen gewaarschuwd.

Met deze vier organisaties worden bedoeld:
".. Als computercrisisteams als bedoeld in de artikelen (..) van de Wet beveiliging netwerk- en informatiesystemen worden aangewezen:
a. de Informatiebeveiligingsdienst (IBD), onderdeel van VNG (Vereniging Ned.Gemeenten) Realisatie B.V.;
b. de Stichting Z-CERT (gezondheidsinstellingen)
c. SURFcert, onderdeel van SURFnet B.V. (universiteiten, en HBO en MBO?)
d. CERT Watermanagement, onderdeel van het openbaar lichaam Het Waterschapshuis .."

Dus het NCSC heeft als kerntaak het waarschuwen van de vitale infrastructuur, maar nu worden ook sinds 13 januari 2020 via deze vier CERT (computer emergency response teams) a. de gemeenten b. de gezondheidsinstellingen c. de universiteiten en d. de waterschappen gewaarschuwd.

Maar er is inmiddels een vijfde organisatie aan toegevoegd:
e. DTC (digital trust centre) voor bedrijven:
https://www.security.nl/posting/720210/Overheid+informeert+individuele+bedrijven+proactief+over+cyberdreigingen
13 september 2021
Het Digital Trust Center van het ministerie van Economische Zaken gaat vanaf vandaag individuele bedrijven proactief informeren over cyberdreigingen. Het gaat dan bijvoorbeeld om kwetsbaarheden in de software waar het bedrijf in kwestie gebruik van maakt of andere acute beveiligingslekken.

Daarnaast hebben we het DIVD van vrijwilligers, die onder andere het lek in Kaseya software hebben ontdekt:
https://www.security.nl/posting/710644/DIVD%3A+Kaseya+gewaarschuwd+voor+bij+aanval+gebruikte+kwetsbaarheden
https://www.security.nl/posting/711251/Nederlandse+onderzoekers+vonden+zeven+kwetsbaarheden+in+Kaseya-software

Als ik het goed begrijp moet het Nationaal Response Netwerk, dan functioneren als een gezamenlijk CERT (computer emergency response team) voor de Belasting, Rijkswaterstaat en Defensie?

En dan zien we ook recent een voorzichtige (vooraankondiging van een voornemen) aanpak in het onderwijs:
https://www.security.nl/posting/722665/Minister+wil+verplichte+externe+audits+en+SOC-aansluiting+voor+het+onderwijs
Met het mechanisme om 24/7 dreigingen te monitoren doelt de minister op een Security Operations Center. "Cruciaal is het opzetten van een gezamenlijk Security Operations Center onder SURF. Een belangrijk onderdeel van dit SOC is de 24/7 monitoring van netwerken en signalering van dreigingen om cyberincidenten te voorkomen."

Deze hele structuur overziende lijkt de cybersecurity op papier goed geregeld. Maar het initiatief van DIVD samen met FoxIT voorziet in een behoefte. De huidige instellingen werken te traag. Dagelijks zijn er (nog steeds) ransomware-aanvallen, DUS is de cybersecurity in Nederland tot nu toe niet goed geregeld. The proof of the pudding is in the eating.
28-09-2021, 22:10 door Anoniem
Door Anoniem: Ik snap de stelling: "Als private organisatie mogen we ons beroepen op een gerechtvaardigd belang" een overheid(sinstelling) mag dat niet.
Wat ik me wel afvraag is hoe dat belang ultimo wordt gerechtvaardigd. Wat is het gerechtvaardigd belang van dit samenwerkingsverband?
Elke partij, behalve de overheid, mag persoonsgegevens verwerken terwijl ze 'nuttige dingen doen', zolang die ook terug te voeren zijn op "een (geschreven of ongeschreven) rechtsregel of rechtsbeginsel" ([url=https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/normuitleg_gerechtvaardigd_belang.pdf]zie AP[/url]).
Voor overheden ligt de lat hoger: zij mogen alleen persoonsgegevens verwerken bij het uitvoeren van dingen die specifiek in een wet beschreven zijn ("wettelijke taken").
29-09-2021, 12:21 door Anoniem
Heel opmerkelijk dat Ferd Grapperhaus adequate wetgeving weigert door te voeren:

https://www.computable.nl/artikel/nieuws/security/7250785/1276896/bedrijfsleven-tuigt-alarmering-op-voor-veilig-internet.html
Binnen enkele maanden moet een gezamenlijk platform tot stand komen dat het bedrijfsleven waarschuwt bij cyberkwetsbaarheden. Een groot aantal internetgerelateerde organisaties, verenigd in het Anti Abuse Netwerk (AAN), heeft daartoe besloten.
Reden voor de oprichting is dat het de initiatiefnemers te lang duurt voordat de overheid deze informatiedeling heeft geregeld. De dreigingsmeldingen die bij het Nationaal Cyber Security Centrum (NCSC) binnenkomen, belanden slechts bij een beperkt aantal bedrijven.

Het lukt de overheid niet snel te komen met een landelijk dekkend stelsel waar alle bedrijven terecht kunnen voor informatie en dat massaal waarschuwt bij hacks. Het ministerie van Justitie en Veiligheid wenst zelf alle regie te houden. Bovendien staan juridische beperkingen het grootscheeps delen van dreigingsinformatie in de weg.

Een oproep van de Cyber Security Raad (CSR) spoedig met een wetswijziging te komen, had niet het gewenste resultaat. Demissionair minister Ferd Grapperhaus toont weinig bereidheid tot snelle reparatie van de wet. Ook vrezen de initiatiefnemers dat de overheid er niet in slaagt zelf snel op te schalen. Tijdens Prinsjesdag bleek dat weinig meer middelen voor cybersecurity beschikbaar worden gesteld.

AAN - onthoudt die naam ;-)
29-09-2021, 13:56 door Anoniem
Door Anoniem:
Elke partij, behalve de overheid, mag persoonsgegevens "....

Dank voor de link, deze was ik even vergeten. Ik vind in deze context nog wel interessant dat de uitleg eindigt met "Let op: verwerkt de verwerkingsverantwoordelijke of derde persoonsgegevens op basis van de grondslag gerechtvaardigd belang, dan geeft dat hem wel extra verantwoordelijkheid om de belangen van betrokkenen in acht te nemen en de rechten van betrokkenen te garanderen. Zoals de verplichting om de betrokkene vooraf over die voorgenomen verwerking te informeren.
29-09-2021, 15:58 door Anoniem
Informatie over op handen zijnde hacks wordt grotendeels weggegooid

[...] het NCSC [mag] alleen ‘scannen binnen de mogelijkheden’, wat betekent dat het niet actief breed scant op bekende kwetsbaarheden om te kijken welke organisaties gevaar lopen. Zo komt het voor dat bedrijven worden gehackt, terwijl dat voorkomen had kunnen worden als het NCSC ze eerder had ingelicht. ‘We hebben het systeem van informatiedelen veel te ingewikkeld gemaakt’, zegt Frank Breedijk van het Dutch Institute for Vulnerability Disclosure, een vrijwilligersorganisatie die onderzoek doet naar online kwetsbaarheden.

door Huib Modderkolk, 29 september 2021

https://www.volkskrant.nl/nieuws-achtergrond/informatie-over-op-handen-zijnde-hacks-wordt-grotendeels-weggegooid~b9318180/


Het NCSC deelt vanwege wettelijke beperkingen nog geen 5 procent van alle dreigingsinformatie die het ontvangt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.